Hacker Breaks στη Νέα Ασφαλής Messaging App της γαλλικής κυβέρνησης
Ένας χάκερ λευκού καπέλου βρήκε έναν τρόπο να εισέλθει στην πρόσφατα, ασφαλής κρυπτογραφημένη εφαρμογή ανταλλαγής μηνυμάτων της γαλλικής κυβέρνησης, η οποία μπορεί να προσεγγιστεί μόνο από υπαλλήλους και πολιτικούς με λογαριασμούς ηλεκτρονικού ταχυδρομείου που συνδέονται με την ταυτότητα της κυβέρνησης.
Με την ονομασία ” Tchap “, η κρυπτογραφημένη εφαρμογή ανοιχτού κώδικα για μηνύματα δημιουργήθηκε από τη γαλλική κυβέρνηση με στόχο να κρατήσει μόνο από τους αξιωματούχους, τους βουλευτές και τους υπουργούς δεδομένα σχετικά με διακομιστές εντός της χώρας σχετικά, με ανησυχίες ότι οι ξένες υπηρεσίες θα μπορούσαν να χρησιμοποιούν άλλες υπηρεσίες να κατασκοπεύουν τις επικοινωνίες τους.
Η εφαρμογή Tchap είναι κατασκευασμένη χρησιμοποιώντας το λογισμικό Riot, ένα λογισμικό άμεσων μηνυμάτων ανοιχτού κώδικα που υλοποιεί το πρωτόκολλο Matrix, το οποίο μπορεί να φιλοξενήσει, για κρυπτογραφημένη επικοινωνία από άκρο σε άκρο. Ναι, είναι το ίδιο ” Riot and Matrix
“Ότι ήταν στις ειδήσεις νωρίτερα αυτή την εβδομάδα από μια άγνωστη χάκερ και με επιτυχία έκλεψε χωρίς κρυπτογράφηση προσωπικά μηνύματα, hashes κωδικό πρόσβασης, μάρκες πρόσβασης, και κλειδιά GPG τους συντηρητές έργων που χρησιμοποιούνται για τα πακέτα υπογραφή.
Η επίθεση στον κυβερνοχώρο για Matrix ήταν τόσο σοβαρό που τελικά υποχρέωσε τους διαχειριστές να κλείσουν ολόκληρη την παραγωγική υποδομή της υπηρεσίας για αρκετές ώρες και να καταγράψουν όλους τους χρήστες εκτός Matrix.org
Αν και η εφαρμογή Tchap είναι διαθέσιμη στο Google Play Store και μπορεί να μεταφορτωθεί από οποιονδήποτε, -ο λογαριασμός ηλεκτρονικού ταχυδρομείου που εκδόθηκε, για παράδειγμα, @ gouv.fr ή @ elysee.fr, είναι ο μόνος που μπορεί να εγγραφεί και να έχει πρόσβαση σε αυτόν.
Ωστόσο, ο Robert Baptiste, γαλλικός ερευνητής ασφάλειας ο οποίος είναι πιο γνωστός από το όνομα χρήστη του Twitter Elliot Alderson, βρήκε ένα κενό ασφαλείας το οποίο θα μπορούσε να επιτρέψει σε οποιονδήποτε να εγγραφεί ένας λογαριασμός με την εφαρμογή Tchap και ομάδες πρόσβασης και κανάλια χωρίς να απαιτείται επίσημη διεύθυνση ηλεκτρονικού ταχυδρομείου.
Σε μια δημοσίευση στο blog που δημοσιεύθηκε σήμερα, ο Ρόμπερτ έδειξε πώς ήταν σε θέση να δημιουργήσει έναν λογαριασμό με την υπηρεσία χρησιμοποιώντας ένα κανονικό αναγνωριστικό ηλεκτρονικού ταχυδρομείου, αξιοποιώντας ένα πιθανό σφάλμα επικύρωσης email στην εφαρμογή Android του Tchap.
“Έχω τροποποιήσει το μήνυμα ηλεκτρονικού ταχυδρομείου στο fs0c131y @ protonmail.com @ presidence @ elysee.fr Bingo! Έλαβα ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την Tchap, ήμουν σε θέση να επικυρώσω τον λογαριασμό μου!” Λέει ο Robert.
“Έχω συνδεθεί ως υπάλληλος του Elysée και είχα πρόσβαση στα δημόσια δωμάτια.”
Ο Robert ανακοίνωσε τα ευρήματά του στην ομάδα Matrix, η οποία δημοσίευσε γρήγορα μια ενημερωμένη έκδοση κώδικα για να διορθώσει το ζήτημα, το οποίο, σύμφωνα με την ομάδα, ήταν συγκεκριμένο μόνο για την ανάπτυξη της μήτρας DINSIC.